你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

ASimProcessEventLogs

Microsoft Sentinel 进程事件规范化表使用与进程创建或终止关联的进程事件 ASIM 规范化架构存储事件。 此类事件由操作系统和安全系统报告,例如 EDR(终结点检测和响应)系统。

表属性

Attribute
资源类型 microsoft.securityinsights/processeventnormalized
类别 安全性
解决方案 SecurityInsights
基本日志
引入时间转换
示例查询 -

类型​​ 说明
ActingProcessCommandLine string 用于运行操作进程的命令行。
“ActingProcessCreationTime” datetime 操作进程的开始日期和时间。
“ActingProcessFileCompany” string 创建了操作进程映像文件的公司。
“ActingProcessFileDescription” string 嵌入在操作进程映像文件的版本信息中的说明。
“ActingProcessFileInternalName” string 操作进程映像文件的版本信息中的产品内部文件名。
ActingProcessFilename string 代理进程映像文件的版本信息中的产品名称。
“ActingProcessFileOriginalName” string 操作进程映像文件的版本信息中的产品原始文件名。
“ActingProcessFileProduct” string 操作进程映像文件中的版本信息中的产品名称。
“ActingProcessFileSize” long 运行代理进程的文件大小(以字节为单位)。
“ActingProcessFileVersion” string 操作进程映像文件的版本信息中的产品版本。
“ActingProcessGuid” string 代理进程的 GUID。
ActingProcessId string 代理进程的进程 ID。
“ActingProcessIMPHASH” string 操作进程使用的所有库 DLL 的导入哈希。
“ActingProcessInjectedAddress” string 在其中存储负责的操作进程的内存地址。
“ActingProcessIntegrityLevel” string 操作过程的完整性级别。
“ActingProcessIsHidden” 布尔 指示操作进程是否处于隐藏模式。
“ActingProcessMD5” string 操作进程映像文件的 MD5 哈希。
“ActingProcessName” string 操作进程的名称。
“ActingProcessSHA1” string 操作进程映像文件的 SHA-1 哈希。
“ActingProcessSHA256” string 操作进程映像文件的 SHA-256 哈希。
“ActingProcessSHA512” string 操作进程映像文件的 SHA-512 哈希。
“ActingProcessTokenElevation” string 指示是否存在应用于操作进程的用户访问控制 (UAC) 特权提升的令牌。
ActorOriginalUserType string 报告设备报告的用户类型。
ActorScope string 定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。
ActorScopeId string 定义 ActorUserId 和 ActorUsername 的范围 ID,例如 Azure AD 租户 ID。
“ActorSessionId” string 参与者登录会话的唯一 ID。
ActorUserId string 一个计算机可读、字母数字、执行组件的唯一表示形式。
ActorUserIdType string ActorUserId 字段中存储的 ID 的类型。
ActorUsername string 参与者的用户名,包括域信息(如果可用)。
ActorUsernameType string ActionUsername 字段中指定的 Actor 用户名的类型
ActorUserType string 参与者的类型。
AdditionalFields 动态 其他信息,使用不映射到 ASim 的源提供的键和值对表示。
_BilledSize real 记录大小(字节)
DvcAction string 对于报告安全系统,系统执行的操作。
DvcDescription string 与设备关联的描述性文本。
DvcDomain string 报告事件的设备的域。
DvcDomainType string DvcDomain 的类型。 可能的值包括“Windows”和“FQDN”。
DvcFQDN string 发生事件或报告事件的设备的主机名。
DvcHostname string 报告事件的设备的主机名。
“DvcId” string 发生事件或报告事件的设备的唯一 ID。
DvcIdType string DvcId 的类型。
DvcInterface string 捕获数据的网络接口。
DvcIpAddr string 报告事件的设备的 IP 地址。
DvcMacAddr string 发生了事件或报告了事件的设备的 MAC 地址。
DvcOriginalAction string 报告设备提供的原始 DvcAction。
DvcOs string 发生了事件或报告了事件的设备上运行的操作系统。
DvcOsVersion string 发生了事件或报告了事件的设备上的操作系统版本。
DvcScope string 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
DvcScopeId string 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
DvcZone string 发生事件或报告事件的网络。
EventCount int 记录描述的事件数。
EventEndTime datetime 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
EventMessage string 常规消息或说明。
EventOriginalResultDetails string 源提供的原始结果详细信息。
EventOriginalSeverity string 报告设备提供的原始严重性。
EventOriginalSubType string 原始事件子类型或 ID(如果已由源提供)。
“EventOriginalType” string 原始事件类型或 ID(如果已由源提供)。
EventOriginalUid string 原始记录的唯一 ID(如果已由源提供)。
EventOwner string 事件的所有者,通常是生成事件的部门或子公司。
EventProduct string 生成事件的产品。
EventProductVersion string 生成事件的产品的版本。
EventReportUrl string 在资源的事件中提供的 URL,提供有关该事件的更多信息。
EventResult string 事件的结果,由以下值之一表示:Success、Partial、Failure、NA(不适用)。 该值可能不会由源直接提供,在这种情况下,该值派生自其他事件字段,例如 EventResultDetails 字段。
EventResultDetails string EventResult 字段中报告的结果的原因或详细信息。
EventSchemaVersion string 架构的版本。
EventSeverity string 事件的严重性。 有效值为:信息性、低、中或高。
EventStartTime datetime 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
EventSubType string 描述 EventType 字段中报告的操作的细分。
EventType string 描述记录报告的操作
EventVendor string 生成事件的产品的供应商。
_IsBillable string 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
“ParentProcessCreationTime” datetime 父进程的开始日期和时间。
“ParentProcessFileCompany” string 创建父进程映像文件的公司。
“ParentProcessFileDescription” string 父进程映像文件的版本信息中的说明。
“ParentProcessFileProduct” string 父进程映像文件中版本信息中的产品名称。
“ParentProcessFileVersion” string 父进程映像文件的版本信息中的产品版本。
“ParentProcessGuid” string 父进程的 GUID。
ParentProcessId string 父进程的进程 ID。
“ParentProcessIMPHASH” string 父进程使用的所有库 DLL 的导入哈希。
“ParentProcessInjectedAddress” string 在其中存储负责的父进程的内存地址。
“ParentProcessIntegrityLevel” string 父进程的完整性级别。
“ParentProcessIsHidden” 布尔 指示父进程是否处于隐藏模式。
“ParentProcessMD5” string 父进程映像文件的 MD5 哈希。
ParentProcessName string 父进程的名称。
“ParentProcessSHA1” string 父进程映像文件的 SHA-1 哈希。
“ParentProcessSHA256” string 父进程映像文件的 SHA-256 哈希。
“ParentProcessSHA512” string 父进程映像文件的 SHA-512 哈希。
“ParentProcessTokenElevation” string 指示是否存在应用于父进程的用户访问控制 (UAC) 特权提升的令牌。
_ResourceId 字符串 与记录关联的资源的唯一标识符
RuleName string 与检查结果关联的规则的名称或 ID。
RuleNumber int 与检查结果关联的规则的数量。
SourceSystem string 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
_SubscriptionId 字符串 与记录关联的订阅的唯一标识符
TargetOriginalUserType string 报告设备报告的用户类型。
TargetProcessCommandLine string 用于运行目标进程的命令行。
“TargetProcessCreationTime” datetime 启动目标进程的日期和时间。
TargetProcessCurrentDirectory string 在其中执行目标进程的当前目录。
“TargetProcessFileCompany” string 创建目标进程映像文件的公司。
“TargetProcessFileDescription” string 目标进程映像文件的版本信息中的说明。
“TargetProcessFileInternalName” string 目标进程映像文件的版本信息中的产品内部文件名。
TargetProcessFilename string 目标进程映像文件的版本信息中的产品名称。
“TargetProcessFileOriginalName” string 目标进程映像文件的版本信息中的产品原始文件名。
“TargetProcessFileProduct” string 目标进程映像文件中版本信息中的产品名称。
“TargetProcessFileSize” long 运行负责事件的进程的文件的大小(以字节为单位)。
“TargetProcessFileVersion” string 目标进程映像文件的版本信息中的产品版本。
“TargetProcessGuid” string 目标进程的 GUID。
“TargetProcessId” string 目标进程的进程 ID。
“TargetProcessIMPHASH” string 目标进程使用的所有库 DLL 的导入哈希。
“TargetProcessInjectedAddress” string 在其中存储负责的目标进程的内存地址。
“TargetProcessIntegrityLevel” string 目标进程的完整性级别。
“TargetProcessIsHidden” 布尔 指示目标进程是否处于隐藏模式。
“TargetProcessMD5” string 目标进程映像文件的 MD5 哈希。
“TargetProcessName” string 目标进程的名称。
“TargetProcessSHA1” string 目标进程映像文件的 SHA-1 哈希。
“TargetProcessSHA256” string 目标进程映像文件的 SHA-256 哈希。
TargetProcessSHA512 string 目标进程映像文件的 SHA-512 哈希。
TargetProcessStatusCode string 目标进程在终止时返回的退出代码。
“TargetProcessTokenElevation” string 一个标记,指示应用于目标进程的用户访问控制(UAC)特权提升是否存在。
TargetScope string 定义 TargetUserId 和 TargetUsername 的范围,例如 Azure AD 租户。
TargetScopeId string 定义 TargetUserId 和 TargetUsername 的范围 ID,例如 Azure AD 租户 ID。
TargetUserId string 一个计算机可读、字母数字、执行组件的唯一表示形式。
“TargetUserIdType” string TargetUserId 字段中存储的 ID 的类型。
TargetUsername string 目标参与者的用户名,包括域信息(如果可用)。
TargetUsernameType string TargetUsername 字段中指定的目标执行组件的用户名的类型
TargetUserSessionGuid string Target 执行组件的登录会话的唯一 GUID。
“TargetUserSessionId” string 目标执行组件的登录会话的唯一 ID。
TargetUserType string 目标执行组件的类型。
TenantId string Log Analytics 工作区 ID
ThreatCategory string 活动中标识的威胁或恶意软件类别。
ThreatConfidence int 已识别威胁的可信度,规范化为 0 到 100 之间的值。
ThreatField string 已识别出威胁的字段。
ThreatFirstReportedTime datetime IP 地址或域首次被识别为威胁的时间。
ThreatId string 活动中标识的威胁或恶意软件的 ID。
ThreatIsActive 布尔 已识别威胁被视为活动威胁的真实 ID。
ThreatLastReportedTime datetime 上次将 IP 地址或域识别为威胁的时间。
ThreatName string 活动中标识的威胁或恶意软件的名称。
ThreatOriginalConfidence string 报告设备报告的已识别威胁的原始可信度。
ThreatOriginalRiskLevel string 报告设备报告的风险级别。
ThreatRiskLevel int 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。
TimeGenerated datetime 时间戳(UTC),反映生成事件的时间。
类型 字符串 表的名称